[Règlement DORA] - Renforcement de la sécurité 'financière' : Cela impacte aussi les prestataires

8 août 2023 par
[Règlement DORA] - Renforcement de la sécurité 'financière' : Cela impacte aussi les prestataires
OPSSI, Serge Keller
| Aucun commentaire pour l'instant

Le règlement de l'UE DORA (Digital Operational Resilience Act) est un cadre réglementaire qui vise à renforcer la sécurité et la résilience des entités financières face aux risques liés aux technologies de l'information et de la communication (TIC). Il s'applique à toutes les entités financières opérant dans l'UE, telles que les banques, les assurances, les fonds d'investissement, les plateformes de trading, etc. Il prévoit également un mécanisme de surveillance direct des prestataires de services TIC critiques, tels que les fournisseurs de cloud ou de données, qui sont essentiels pour le fonctionnement du secteur financier.

Le règlement DORA impose aux entités financières de respecter des exigences uniformes en matière de gestion des risques TIC, de test de résistance, d'incidentologie, de gouvernance et d'externalisation. Il leur demande également de signaler rapidement et de manière exhaustive les incidents majeurs liés aux TIC aux autorités de surveillance et aux acteurs du marché. Le règlement DORA crée ainsi un cadre harmonisé au niveau de l'UE pour assurer la résilience opérationnelle numérique du secteur financier et prévenir les cybermenaces.

Les prestataires de services TIC critiques sont ceux qui fournissent des services TIC indispensables au fonctionnement, à la continuité et à la sécurité des activités ou des services financiers. Ils sont soumis à une surveillance directe de la part des autorités européennes de surveillance (AES), qui peuvent leur imposer des exigences spécifiques en matière de sécurité, d'audit, d'accès aux informations ou de coopération. Les AES peuvent également leur infliger des sanctions administratives en cas de non-respect du règlement DORA.

Les risques liés aux TIC sont les menaces ou les perturbations qui peuvent affecter les réseaux, les systèmes, les données ou les services financiers en raison de l'utilisation des TIC. Ces risques peuvent avoir des conséquences graves sur la stabilité financière, la protection des consommateurs, la confidentialité des données ou la concurrence. Ils peuvent être d'origine interne (par exemple, une défaillance technique, une erreur humaine, une fraude) ou externe (par exemple, une cyberattaque, un événement naturel, une crise sanitaire).

(image issue du site https://www.riskinsight-wavestone.com/)

Le règlement DORA est entré en vigueur le 16 janvier 2023 et devra être pleinement appliqué par les entités financières et les prestataires de services TIC critiques d'ici janvier 2025.

Le règlement DORA est-il applicable en Nouvelle Calédonie ? La réponse n'est pas évidente, car la Nouvelle Calédonie dispose d'un statut particulier au sein de la République française et de l'UE. Elle bénéficie d'une large autonomie dans certains domaines, dont celui des affaires monétaires et financières. Elle dispose notamment de sa propre monnaie, le franc pacifique (XPF), qui est lié à l'euro par un accord monétaire avec la France. Elle a également ses propres autorités financières, comme l'Institut d'émission d'outre-mer (IEOM) ou la Commission bancaire du Pacifique (CBP).


Selon l'article 216 du traité sur le fonctionnement de l'Union européenne (TFUE), les règlements européens sont applicables dans les pays et territoires d'outre-mer (PTOM) associés à l'UE, sauf disposition contraire prévue par le Conseil. La Nouvelle Calédonie fait partie des PTOM associés à l'UE. Toutefois, le Conseil peut décider que certains règlements ne s'appliquent pas ou s'appliquent partiellement dans ces territoires, en tenant compte des intérêts particuliers des PTOM et des États membres auxquels ils sont rattachés.


À ce jour, le Conseil n'a pas pris de décision (à ma connaissance) concernant l'applicabilité du règlement DORA en Nouvelle Calédonie. Il est donc possible que le règlement DORA s'applique par défaut dans ce territoire, mais il faudrait attendre une confirmation officielle des autorités compétentes. Il est également possible que le règlement DORA soit adapté ou complété par des dispositions spécifiques pour tenir compte des particularités du secteur financier néo-calédonien.

Sources :

-  La réglementation DORA sur la résilience opérationnelle numérique du secteur financier - PwC

-  Finance numérique: le Conseil adopte le règlement sur la résilience opérationnelle numérique du secteur financier - Consilium

-  Réglementation sur la résilience opérationnelle (DORA) - KPMG

-  Finance numérique: accord provisoire concernant le règlement sur la résilience opérationnelle numérique du secteur financier - Consilium


[Règlement DORA] - Renforcement de la sécurité 'financière' : Cela impacte aussi les prestataires
OPSSI, Serge Keller 8 août 2023
Partager cette publication
Étiquettes
Archiver
Se connecter pour laisser un commentaire.